【技术实现步骤摘要】
本专利技术涉及虚拟电厂场景下的协同感知系统,特别涉及一种基于行为画像和分布式机器学习的安全技术。
技术介绍
1、电力行业是关乎国计民生的基础产业,经济与科技的快速发展使得各行各业消耗的能量和用电需求日益增长,用户和社会生产活动等也越发依赖电能的稳定。传统的能源系统主要依赖于中心化的大型发电厂和传输网来提供能源供应。然而,随着可再生能源(如太阳能和风能)的广泛应用和分布式能源资源的不断增长,传统的能源模式面临着一系列问题,如供能不稳定、能源资源分散度高且规模较小,产生的能量波动性较大等,这给能源管理和调度带来了挑战。为了保障电网供电质量和满足未来技术的要求,电力行业亟需加快智能化发展。因此,在20世纪初,各国相继开始研究新一代电网技术,并提出虚拟电厂这一概念。
2、虚拟电厂(virtual power plant, vpp)是指通过对分布式能源、储能设备、传输设施等资源的集成、优化调度、控制等,形成的具备集中调度能力的虚拟能源发电和负荷调度系统。虚拟电厂利用现代信息通信技术和智能化设备,将分布式能源、储能设备、电动汽车充电桩等能源资源纳入统一的管理平台,并通过智能化调度和控制实现对电力系统的优化运行。通过对传统电网进行系统升级,结合通信网络技术构建出了虚拟电厂体系,电力系统与信息通信技术的高度融合使得电网中对设备以及电网数据的分析监测能力得到增强,使得电力传输网络更加智能化。虚拟电厂不仅具备能源调度和能量交易的功能,还可以实现灵活的需求响应和能源市场参与。它可以根据电力系统的实际需求和市场变化,灵活地调整能源的产生和消
3、相比于传统的电网系统,虚拟电厂中的数据传输网络所面临的安全风险在种类或者后果上,都会更大、更多、更严重,对现有数据网络的升级也将带来更多新的潜在的系统安全威胁。由此可见,电网传输系统一旦出现安全漏洞将会引起严重后果。例如,针对工控系统的斯塔克特攻击,它是一个针对伊朗核设施的复杂恶意软件,其中包括攻击智能电网系统的组件。该攻击针对工业控制系统(industrial control system, ics)中的漏洞,成功破坏了伊朗的铀浓缩设施。智能电表作为智能电网的核心组件之一,也存在安全漏洞。某些智能电表系统被发现存在弱点,黑客可以通过这些漏洞入侵用户的隐私、篡改电表数据或进行电力欺诈行为,这对用户隐私和能源供应的可靠性构成了威胁。在虚拟电厂架构中还存在分布式能源资源攻击,攻击者可以利用漏洞或未经授权的访问来篡改分布式能源设备(distributed energy resources, der)的设置或操纵其运行状态,从而导致能源供应不稳定甚至引发故障。虚拟电厂的安全直接关系到能源供应的可靠性和稳定性,任何安全漏洞或攻击都可能导致电力中断和系统崩溃。其次,虚拟电厂涉及大量的数据交换和处理,包括能源生产和消费数据以及用户隐私信息,因此保护这些数据的安全和隐私对于防止泄露和滥用至关重要。此外,虚拟电厂的安全对于保护经济利益具有重要意义,因为恶意攻击和欺诈行为可能导致经济损失和市场不稳定。
4、虚拟电厂的高度复杂性和分布式特性使其易受到恶意攻击和非法入侵。现有的针对虚拟电厂的入侵检测手段多采用传统的安全防御模型,不能应对不断变化的网络攻击威胁形势。为了实现虚拟电厂的安全保护,安全态势感知被引入,用于实时监测、分析和响应潜在的安全威胁。安全态势感知旨在全面了解虚拟电厂的安全状况,包括检测安全事件、识别威胁和采取响应措施。
5、虚拟电厂安全态势感知涉及多种技术和方法的应用。行为画像分析和机器学习技术可以通过对网络流量、设备日志和用户行为等数据的分析,识别异常模式和威胁行为。而联邦学习是一种分布式的机器学习技术,它通过在多个数据隔离的设备上进行模型训练和更新,从而实现对数据的共享和利用,同时保证数据的隐私和安全。在虚拟电厂中,运用联邦学习框架可以实现跨多个管理域的合作安全分析。通过联邦学习,各个管理域的边缘服务器在本地维护和保护自己的数据,仅共享模型参数以提高数据隐私性。同时,联邦学习还可以通过模型聚合和更新来提高安全事件的检测和威胁识别能力。
技术实现思路
1、本专利技术要解决的技术问题是在虚拟电厂场景中,为边缘设备提供一种快速、准确、可靠的安全态势协同感知系统。
2、为此目的,本专利技术提出的技术方案为一种基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,包括以下步骤:
3、s1.边缘服务器捕获通信数据包,将其聚合成网络流后提取特征;
4、s2.边缘服务器依据规则集检测网络流,并反馈规则匹配结果;
5、s3.匹配成功,则由部署在边缘服务器上的联邦学习检测模块进行检测;
6、s4.联邦学习检测模块进行深度检测,并更新规则集;
7、s4.匹配失败,则加密网络流特征并上传至云服务器进行后续分析;
8、s5.云服务器汇总异常网络流特征信息,并广播至检测节点处理;
9、s6.检测节点处理网络流特征,将检测结果投票汇总;
10、s7.云服务器将最终判定结果反馈给边缘服务器;
11、s8.边缘服务器根据各模块反馈信息更新规则集。
12、进一步,前述s1中,边缘服务器捕获通信数据包,将其聚合成网络流后提取特征。网络流是由一系列共享相同源ip地址、目的ip地址、源端口号、目的端口号以及协议号的tcp或udp数据包组成的。边缘服务器通过分析监测端口向内和向外传输的数据包的头部信息,提取网络流的特征数据,包括网络流传输的数据包数量以及字节数、网络流持续时间、网络流中数据包的平均大小等。基于网络流的特征数据能够反映特定网络流的行为特征,并且由于网络流不涉及数据包负载部分的分析,避免了隐私泄露的风险。
13、进一步,前述s2中,边缘服务器依据规则集检测网络流,并反馈规则匹配结果。规则集是规则的集合,用于初步检测未知的网络流,规则包含3个字段:
14、(1)source ip:源ip地址;
15、(2)destination ip:目的ip地址;
16、(3)protocol number:协议号。
17、同时,从网络流的标识信息中提取出相同的三部分信息构成判别式与规则进行匹配。网络流标识信息包含5个字段:
18、(4)source ip:源ip地址;
19、(5)destination ip:目的ip地址;
20、(6)source port:源端口号;
21、(7)destination port:目的端口号;
22、(8)protocol number:本文档来自技高网...
【技术保护点】
1.一种基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,包括以下步骤:
2.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,所述S1中,边缘服务器捕获通信数据包,将其聚合成网络流后提取特征,网络流是由一系列共享相同源IP地址、目的IP地址、源端口号、目的端口号以及协议号的TCP或UDP数据包组成的,边缘服务器通过分析监测端口向内和向外传输的数据包的头部信息,提取网络流的特征数据,包括网络流传输的数据包数量以及字节数、网络流持续时间、网络流中数据包的平均大小等,基于网络流的特征数据能够反映特定网络流的行为特征,并且由于网络流不涉及数据包负载部分的分析,避免了隐私泄露的风险。
3.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,所述S2中,边缘服务器依据规则集检测网络流,并反馈规则匹配结果,规则集是规则的集合,用于初步检测未知的网络流,规则包含3个字段:
4.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征
5.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,所述S4中,若网络流在了基于规则的行为画像检测模块成功匹配,则由部署在边缘服务器的联邦学习检测模块负责深度分析;联邦学习检测模块包含用于检测的二分类深度神经网络模型;若联邦学习检测模块判定网络流为良性,则认为该网络流为正常通信,且该网络流对应的规则的信誉值增加1,若联邦学习检测模块判定网络流为恶意,则根据网络流对应的规则的信誉值与阈值进行比较,若信誉值大于等于阈值,则判定网络流为良性,但与该流匹配的规则对应的信誉向下对半取整,如果信誉值小于阈值,则判定网络流为恶意流,并将相应规则的信誉值归零,且在规则集中删除该规则;同时,边缘服务器的联邦学习检测模块将当前模型的参数上传至云服务器,与其他边缘服务器的参数进行融合,以更新检测模型参数,提高模型检测性能。
6.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,所述S5中,在基于规则的行为画像检测模块中,如果由网络流标识信息构成的判别式无法与规则集中的规则匹配,则判定该网络流为虚拟电厂与不可信终端之间的不频繁通信,为了进一步分析网络流是否存在异常或攻击行为同时保护数据安全,系统将网络流特征数据加密,并传输至云端的基于分布式集群的集成学习检测模块进行深度分析。
7.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,所述S6中,若网络流经分析存在异常行为,则云服务器端负责汇总异常网络流特征信息,同时记录该网络流与边缘服务器的映射关系,通过基于分布式集群的集成学习检测模块对异常网络流进一步分析,在基于分布式集群的集成学习检测模块中,不同的检测节点运行着不同的机器学习算法,该模块通过统计各个检测节点的检测结果,投票分析出最终异常网络流的判定结果并汇总到云服务器。
8.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,所述S7中,云服务器根据记录的异常网络流与边缘服务器的映射关系,将基于分布式集群的集成学习检测模块的最终判定结果反馈给相应的边缘服务器,提示边缘服务器进行网络流的丢弃、告警操作,从而有效地抵御恶意流量对虚拟电厂的攻击。
9.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,所述S8中,系统根据联邦学习检测模块和基于分布式集群的集成学习检测模块的反馈结果,对规则集进行实时更新;若基于分布式集群的集成学习检测模块判定网络流为良性流且对应的规则未列入规则集中,则提取网络流的规则,并将其添加到规则集中,给该规则赋予初始信誉值;若网络流能够匹配规则,且联邦学习检测模块反馈的结果为良性,则网络流对应规则信誉值加1;若网络流能够匹配规则,但联邦学习检测模块判定其为异常的,则系统根据该网络流对应的规则信誉值与阈值进行比较,若信誉值不小于阈值,则将信誉值减半并向下取整,若信誉值小于阈值,则将该规则从规则集中删除。
10.一种基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,用于实现权利要求1-9任意一项所述...
【技术特征摘要】
1.一种基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,包括以下步骤:
2.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,所述s1中,边缘服务器捕获通信数据包,将其聚合成网络流后提取特征,网络流是由一系列共享相同源ip地址、目的ip地址、源端口号、目的端口号以及协议号的tcp或udp数据包组成的,边缘服务器通过分析监测端口向内和向外传输的数据包的头部信息,提取网络流的特征数据,包括网络流传输的数据包数量以及字节数、网络流持续时间、网络流中数据包的平均大小等,基于网络流的特征数据能够反映特定网络流的行为特征,并且由于网络流不涉及数据包负载部分的分析,避免了隐私泄露的风险。
3.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,所述s2中,边缘服务器依据规则集检测网络流,并反馈规则匹配结果,规则集是规则的集合,用于初步检测未知的网络流,规则包含3个字段:
4.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,所述s3中,在基于规则的行为画像检测模块中,若由网络流标识信息构成的判别式能够与规则集中的规则相匹配,则判定该网络流为虚拟电厂与可信终端之间的正常通信,为了防止攻击者通过监听虚拟电厂的通信行为而伪造符合规则的网络流,系统将匹配成功的网络流进一步送入联邦学习检测模块进行深度分析。
5.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,所述s4中,若网络流在了基于规则的行为画像检测模块成功匹配,则由部署在边缘服务器的联邦学习检测模块负责深度分析;联邦学习检测模块包含用于检测的二分类深度神经网络模型;若联邦学习检测模块判定网络流为良性,则认为该网络流为正常通信,且该网络流对应的规则的信誉值增加1,若联邦学习检测模块判定网络流为恶意,则根据网络流对应的规则的信誉值与阈值进行比较,若信誉值大于等于阈值,则判定网络流为良性,但与该流匹配的规则对应的信誉向下对半取整,如果信誉值小于阈值,则判定网络流为恶意流,并将相应规则的信誉值归零,且在规则集中删除该规则;同时,边缘服务器的联邦学习检测模块将当前模型的参数上传至云服务器,与其他边缘服务器的参数进行融合,以更新检测模型参数,提高模型检测性能。
6.如权利要求1所述的基于行为画像和分布式机器学习的虚拟电厂安全态势协同感知系统,其特征在于,所述s5中,在基于规则的行为画像检测模块中,如果由网络流标识信息构成的判别式无法与规则集中的规则匹配,则判定该网络流为虚拟电厂与不可信终端之间的不频繁通信,为了进一步分析网络流是否存在异常或攻击行为同时保护数据安全,系统将网络流特征数据加密,并传输至云端的基于分布式集群的集成学习检测...
【专利技术属性】
技术研发人员:汤君博,曾顺奇,柳嘉禾,何知菲,蔡莹,胡林麟,童飞,
申请(专利权)人:广东电网有限责任公司广州供电局,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。